O ator de ameaças com motivação financeira FIN7 mirou em um grande fabricante americano de automóveis com e-mails de spear-phishing voltados para funcionários do departamento de TI, com o objetivo de infectar sistemas com o backdoor Anunak.
De acordo com pesquisadores da BlackBerry, o ataque ocorreu no final do ano passado e contou com a utilização de binaries, scripts e livrarias living-off-the-land (LoLBAS).
O ator de ameaças focou em alvos com privilégios de alto nível, atraindo-os com links para uma URL maliciosa que se passava pela ferramenta legítima Advanced IP Scanner.
A BlackBerry atribuiu os ataques ao FIN7 com um alto grau de confiança, baseado no uso de scripts PowerShell únicos que utilizam o invocador de shellcode ofuscado 'PowerTrash', assinatura do adversário, visto pela primeira vez em uma campanha de 2022.
Antes disso, o FIN7 foi visto mirando em servidores de backup do Veeam e Microsoft Exchange expostos, assim como implantando payload de ransomware Black Basta e Clop em redes corporativas.
O ataque do FIN7 começou com e-mails de spear-phishing mirando funcionários altamente privilegiados no departamento de TI de um grande fabricante de automóveis com sede nos EUA.
Os links nos e-mails direcionavam para "advanced-ip-sccanner[.]com", um typosquat do projeto legítimo hospedado em "advanced-ip-scanner.com".
Os pesquisadores descobriram que o site falso redirecionava para "myipscanner[.]com" (agora offline).
O visitante seria então levado para uma página no Dropbox oferecendo um executável malicioso ('WsTaskLoad.exe') disfarçado como o instalador legítimo para o Advanced IP Scanner.
Uma vez executado, o arquivo desencadeia um processo de múltiplas etapas envolvendo a execução de DLL, arquivos WAV e shellcode, levando ao carregamento e decifração de um arquivo chamado 'dmxl.bin', que contém o payload do backdoor Anunak.
Anunak/Carbanak é uma das várias ferramentas de malware que o FIN7 utiliza, junto com Loadout, Griffon, PowerPlant e Diceloader.
O WsTaskLoad.exe também instala o OpenSSH para acesso persistente e cria uma tarefa agendada.
O FIN7 já utilizou o OpenSSH anteriormente para movimentação lateral, mas a BlackBerry diz que não observou isso na campanha que analisaram.
Os pesquisadores não divulgaram o nome da organização vítima, que eles descrevem apenas como "um grande fabricante automotivo multinacional com sede nos EUA".
O FIN7 está ativo desde 2013, mas apenas nos últimos anos começou a mirar em alvos maiores e o payload final típico é ransomware.
A transição para atacar organizações maiores no contexto de ransomware faz sentido, já que elas podem pagar resgates maiores.
A BlackBerry comenta que o ataque do FIN7 falhou em se espalhar além do sistema inicialmente infectado e entrar na etapa de movimentação lateral.
A empresa recomenda que as companhias se defendam contra phishing, que é o vetor de intrusão mais comum, e forneçam o treinamento adequado para que os funcionários possam evitar iscas maliciosas.
Implementar autenticação de múltiplos fatores (MFA) em todas as contas de usuário torna mais difícil para um atacante obter acesso a uma conta de funcionário, mesmo que consigam roubar credenciais de acesso.
Defesas de base, como o uso de senhas fortes e únicas, manter todo o software atualizado, monitorar a rede para comportamento suspeito e adicionar soluções avançadas de filtragem de e-mails também ajudam a proteger contra uma ampla gama de atacantes.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...